前情回顾·俄乌网络战前线
安全内参10月18日消息,今年5月至9月期间,有官方背景的俄罗斯黑客组织“沙虫”(Sandworm)已经成功侵入11家乌克兰电信公司。
乌克兰计算机应急响应组(CERT-UA)发布最新报告,援引“公开信源” 和部分遭攻击电信服务提供商提供的信息,确认发生上述情况。
该机构表示,这些俄罗斯黑客“干扰了”乌克兰国内11家电信公司的通信系统,导致服务中断,或引发数据泄露。
沙虫是一个非常活跃的间谍威胁组织,与俄罗斯军事情报总局有关联。2023年,该组织一直将乌克兰作为主要目标,使用钓鱼诱骗、安卓恶意软件和数据清除工具发动攻击。
电信业成俄乌网络战受害重灾区
乌克兰计算机应急响应组报告称,沙虫组织首先使用“masscan”工具对电信公司的网络进行侦察,扫描目标网络。
masscan脚本范例(来源:乌克兰计算机应急响应组)
沙虫寻找开放端口和未受保护的RDP或SSH接口,以便侵入网络。
此外,攻击者还使用“ffuf”、“dirbuster”、“gowitness”和“nmap”等工具在Web服务中查找可以用来获取访问权限的潜在漏洞。他们还会利用没有启用多重身份验证的受影响VPN账户获取网络访问权限。
为了使入侵更加隐蔽,沙虫使用“Dante”、“socks5”和其他代理服务器将他们的恶意活动路由到之前已经成功侵入的乌克兰地区互联网内的服务器,让活动显得不那么可疑。
乌克兰计算机应急响应组报告称,他们在遭受攻击的互联网服务提供(ISP)系统中发现了两个后门,分别是“Poemgate”和“Poseidon”。
Poemgate抓取在受影响端点进行身份验证的管理员的凭证,为攻击者提供访问其他账户的权限,可用于横向移动或加深网络渗透。
Poseidon是一个Linux后门,乌克兰计算机应急响应组表示这个后门“包括一整套远程计算机控制工具”。Poseidon通过修改Cron添加恶意任务,实现持久化。
修改Cron二进制文件将Poseidon后门持久化(来源:乌克兰计算机应急响应组)
沙虫使用“Whitecat”工具抹除攻击痕迹并删除访问日志。
在攻击的最后阶段,黑客们在部署会导致服务中断的脚本,脚本专门针对MikroTik公司设备设计。他们还删除备份,加大恢复难度。
瘫痪MikroTik设备的脚本(来源:乌克兰计算机应急响应组)
乌克兰计算机应急响应组建议全国所有服务提供商遵循他们的建议,加强系统安全性,减少网络入侵者侵入的机会。
参考资料:https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
